如何前行?

尽管《等级保护》在金融行业遭遇落地难题，但被采访的几位专家和银行信息化主管都认为《等级保护》从最高层次对信息系统进行了安全角度的划分，是构建我国信息安全保障体系的核心重要环节。

金融行业将如何突破落实《等级保护》中的重重关卡，摆脱胶着状态，顺利前行呢?一位不愿意透露姓名的信息化主管认为，首先是在于上级的重视，银行信息化建设的历史充分表明，“一把手工程”才会成功。

“公安部门再怎么强调，下边的CSO再怎么努力，抵不上行长亲自发话过问。”这位信息化主管说， “2000年人民银行召开信息化安全会议，行长一发话，各个商业银行的安全处就齐唰唰地建成了。”他认为，如果银行领导也认同公安部门的看法，在实施《等级保护》时，落实责任制，层层都要有人管，从总行到各分行都有责任，很多问题就可以迎刃而解。

“一把手”工程确实能带来信息化建设的成功，可目前有几家企业的信息化建设是“一把手”工程?从当前一些银行实施软件的不成功就可以看出一二来。所以说，“一把手”工程关键还是在于落实，从组织结构上把它明确下来。“如果这个问题得不到彻底解决，一切都是白搭。”业内一资深信息化专家表示，“银行等级保护工作的实施只是一个具体问题，类似这样实施难的信息化问题还有很多。”

除了需要上级领导的高度重视，抓紧制定行业内的相关配套做事，来解决监督管理方面的问题，也是金融业当前亟需要跟进的重要环节。因为没有专门的监管机构来从事信息化的监督管理，很多事情落不到实处。

一位银行信息化主管认为，在银行内部有安全管理机关却无监督机关，这使得安全工作是弥补而非预防，许多工作处在可做可不做的状态，譬如落实《等级保护》，因为并没有谁对违反《等级保护》规定情况下的处罚标准进行界定。他赞同屈延文的看法，呼吁银监会直接成立科技监管司或信息资源监管司，来督促银行信息化安全工作的全面实施。

“目前由于监管机构的缺失，评估工作走过场和所谓的腐败问题也非常严重。” 某著名安全专家在接受记者采访时表示，就算评估工作是真实的，通过评估之后，由有关部门发放证书，证明其符合要求与标准。评估之后，被评估的工作是否还能保持评估时的标准要求，必须对被评估企业进行监管，否则，评估之后，各项工作出现倒退，评估的意义便失去了。

对于专家的说法，记者有一些同感。2004年记者有幸参加了银行重大系统的专家组验收会，对整个验收的过程有一些了解和感觉，虽说谈不上腐败，但是那种走过场和流于形式的现象还是挺有感触的。

该专家认为，评估工作正确的做法是把评估的重点放在信息资产的价值评估上，给出信息资产和风险资产价值化的评分与定价的标准。评估工作除实行价值评估外，还要实行效益或有效性的再评估。

现在的信息安全已经逐渐变成一个独立的学科，一些信息化主管认为，信息安全需要有专业人员提供服务，包括风险分析、咨询服务等。在国家尚未对安全服务进行规划化管理时，金融业可以先行一步，对提供安全服务的企业进行行业资质管理，依靠政策和市场相调控的原则，来弥补银行安全人才缺乏的短板。

就算评估工作是真实的，且在通过评估之后，由有关部门发放证书，证明其符合要求与标准。但评估之后，要使被评估的工作还能保持评估时的标准要求，就必须对被评估企业进行监管。